Сравнение Directory Service

Моментальные снимки (snapshots) Active Directory в Windows Server 2008 эта та вещь, которую должен знать каждый it-шник.Используя эту функцию, вы можете в ручную или программным способом создавать снимки базы Active Directory в заданное время. Эти снимки могут быть сохранены на локальный диск контроллера домена или скопированы любой другой носитель. Более подробно как это делается вы можете прочитать в моей первой статье (Снимки Active Directory (Active Directory Snapshots) в Windows Server 2008).

Однако, как я писал в предыдущей статье, снимки Active Directory в Windows Server 2008 дают только половину желаемого. Они позволяют видеть как база AD выглядела в момент создания снимка, какие объекты присутсвовали и т.д.

Но нет возможности перенести или скопировать объекты или что либо еще из снимка в рабочую базу AD. Например вы видите в базе снимка AD пользователя «John», но вы не можете взять и перетащить мышкой его в рабочую базу AD. Так же нету никакой встроенной графической утилиты для этого. Вы можете использовать утилиты LDP или другие LDAP утилиты для оффлайн просмотра базы снимка AD. Вы конечно можете использовать утилиты командной строки, такие как CSVDE или LDIFDE, для экспорта данных в CSV или LDIF файлы. Но все это требует дополнительного редактирования перед тем, как мы сможем эти данные импортировать в рабочую AD и это не всегда подходит для восстановления удаленных объектов.

Но мне на глаза попалась программа, которую написал Fredrik Lindström и именно о ней будет сегодняшняя статья.

Программа называется Directory Service Comparison Tool или просто DSCT и используется для сравнения рабочей базы AD с базой из снимка. Кроме сравнения DSCT может восстанавливать удаленные объекты и перетаскивать другую информацию из сника в рабочую базу AD.

Основные функции программы:

• Сравнение обектов в рабочей Active Directory и в снимке
• Восстановление атрибутов объектов из снимка в рабочую Active Directory
• Реанимирование удаленных объектов
• Восстановление членства в группах при реанимировании (New)
• Восстановление членства в группах даже если группа в рабочей Active Directory была переименована или перемещена.

Скачать DSCT ( 32 и 64-bit версии доступны)

Требования

• NET 3.5 or higher
• MMC 3.0
• Источники данных: Active Directory и смонтированные Active Directory снимки на Windows Server 2008 или Windows Server 2008 R2

Примечание: Не устанавливайте DSCT на контроллер домена, запускайте его с отдельного компьютера.

Приступим:

Во-первых, вам понадобиться рабочая Active Directory. Так же вы должны смонтировать снимок Active Directory. Как это сделать вы можете прочитать в моей статье Снимки Active Directory (Active Directory Snapshots) в Windows Server 2008.

Утилита DSCT устанавливается в систему в виде консоли MMC. Откройте MMC консоль, добавьте нужную оснастку в нее. Далее нажмите Connection Settings и в открывшемся окне добавьте имя сервера Active Directory и имя сервера и порт снимка Active Directory. Если необходимо то задайте логин и пароль под которыми необходимо авторизоваться на этих серверах.

Примечание: В сентябре 2008 года в Windows Server 2008 был обнаружен баг, из-за которого парамерт highestCommittedUsn в снимке оказывался больше, чем в работающей системе. И это означало что снимок системы оказывался более новым, чем сама система. Сравнение базы рабочей Active Directory с базой снимка возможно только когда параметр highestCommittedUsn у рабочей базы равен или больше чем в базе снимка. В DSCT заложен механизм исправления данной проблемы, он повышает значение highestCommittedUsn у рабочей базы Active Directory.

До тех пор пока не будут найдены расхождения, объекты не отображаются в окне программы.

Нажмите кнопку Resync, если вы только что обновили что то в рабочей базе Active Directory и хотите сравнить изменения со снимком базы.

Если были найдены удаленные объекты, они располагаются на закладке «Deleted», оттуда же их можно и восстановить, включая привязку к группам.

После того как обеъкт восстановлен, можно восстановить и его атрибуты.